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BESCHREIBUNG 

VERFAHREN ZUR UBERTRAGUNG VON SIGNALEN 

Die Erfindung betrifft ein Verfahren zur Ubertragung von 
Signalen nach dem Oberbegriff des Patentanspruchs 1. 

Bei der Ubertragung von Signalfolgen spielt die 
authentische Ubertragung der Daten bzw. Signale immer eine 
groBere Rolle. So ist zum Beispiel in ISO/IEC 9797, 
Information technology - Security techniques - Data 
integrity mechanisms using a cryptographic check function 
employing a block cipher algorithm (JTC1/SC27 1994) eine 
Losung fur dieses Problem beschrieben. Dabei sind dem 
Sender und dem Empfanger gleiche geheime Schliissel in 
Verbindung mit einem Verschliisselungsalgorithmus (block 
cipher, encipherment algorithm) oder mit einer 
schliisselabhangigen Einwegf unktion ( crypthgraphic check 
function) zugeordnet. Dies kann zum Beispiel auf einer 
Chipkarte erfolgen. Der Sender fiigt jedem Signal (Datum) 
eine kryptgraphische Prufsumme (Message authentication 
code) hinzu, die vom geheimen Schliissel und dem 
kryptographischen Algorithmus ( Verschltisselung bzw. 
Einwegf unktion ) abhangt. Der Empfanger berechnet 
seinerseits die Prufsumme und erkennt die empfangenen 
Signale bei Gleichheit der Prufsumme als authentisch an. 
Diese Losung hat jedoch folgende Nachteile: Urn eine 
Anderung der Reihenfolge der ubertragenen Daten zu 
erkennen, wird die Prufsumme eines Signals abhangig von der 
Prufsumme der bisher gesendeten Signale berechnet. Auch fur 
den Fall, daB nach jedem Signal eine Prufsumme gesendet 
wird, ist dies notwendig, da sonst ein Angreifer 
Signalpruf summenpaare aufzeichnen und in geanderter 
Reihenfolge unbemerkt einspielen konnte . Dies erfordert in 
der bekannten Losung fur jede Prufsumme eine Durchfiihrung 
des kryptographischen Algorithmus . Da Reihenfolge und 
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Auswahl der Signale nicht genau im Voraus feststehen, ist 
es auch nicht moglich, die erf orderlichen Prufsummen im 
Voraus zu berechnen. 

In einer zeitkritischen Umgebung kann dies zu Problemen 
fiihren. Die Berechnung des kryptographischen Algorithmus 
kann zum Beispiel auf einer Chipkarte stattfinden. Beim 
Einsatz einer schon evaluierten Chipkarte ist dies 
vorteilhaft, ansonsten ist eine zusatzliche 
Sof twareimplementierung des Algorithmus erneut zu 
evaluieren. Die Kommunikation mit der Chipkarte und die 
Berechnung des kryptographischen Algorithmus auf der 
Chipkarte sind sehr zeitintensiv. 

Der Erfindung liegt deshalb die Aufgabe zugrunde, ein 
Verfahren zur authentischen Signal- bzw. Dateniibertragung 
zu schaffen, das zu einem vorgegebenen Signalvorrat und 
einer vorgegebenen maxiraalen Anzahl zu iibertragender 
Signale die Berechnung von Authentif ikationsf ormationen 
vorab ermoglicht, so daS in der Ubertragungsphase aus 
diesen schon vorher berechneten Inf ormationen einfach und 
schnell Prufsummen zu den gesendeten Signalen bzw. Daten 
berechnet werden konnen . 

Die erf indungsgemaBe Losung ist im Kennzeichen des 
Patentanspruchs 1 charakterisiert . 

Weitere Losungen der Aufgabe bzw, Ausgestaltungen des 
Erf indungsgegenstandes sind in den kennzeichnenden Teilen 
der Patentanspriiche 2 bis 10 charakterisiert. 

Durch die bewuBte Einfiihrung einer Vorberechnungsphase und 
einer Kommunikationsphase in das Ubertragungsverf ahren ist 
es jetzt moglich, die Berechnung von Authentif ikations- 
inf ormationen schon vor der eigent lichen Ubertragungsphase 
durchzuf iihren und wahrend der Ubertragungsphase konnen nun 
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aus diesen schon vorher berechneten Inf ormationen einfach 
und schnell Prufsummen zu den gesendeten Signalen berechnet 
werden. Die Losung der Aufgabe besteht in einem Verfahren 
aus einer Vorberechnungsphase und einer Kommunikations- 
phase, in der die Signale bzw. Daten zusaminen mit den 
Priifsummen iibertragen werden. In der Vorberechnungsphase 
werden mittels kryptographischer Algorithmen, zum Beispiel 
einer Blockchiffre im "Output-Feedback-Mode" aus dem 
Zeitvariantenparamenter (Sequenznummer, Zeitmarke und 
sonstigen Initialisierungsdaten ) zunachst eine 
Pseudozuf allsf olge Z erzeugt. Als Beispiel wird m = 16, 32 
oder 64 fur einen Sicherheitsparameter m angenomiaen . Aus 
der Folge Z werden jetzt sich nicht iiberschneidende 
Abschnitte z(i) von jeweils m Bit den Signalen s[i], 
i = 1, 2, . .., n des Signalvorrates zugeordnet. Aus der 
verbleibenden Folge werden weitere sich nicht 
iiberschneidende m Bit Abschnitte t[i] als Codierung der 
Nummern 1, 2, ... MAX gewahlt, wobei MAX die maximale 
Anzahl der zu iibertragenden Signale ist. 

Wenn in der anschlieBenden Kommunikationsphase eine 
Senderauthentif ikation erforderlich ist, wird zunachst dem 
Ablauf der "One pass authentication" gemaB den 
Verof f entlichungen ISO/IEC 9798-2, Information technology - 
Security techniques - Entity authentication Mechanisms - 
Part 2: Mechanisms using symmetric encipherment algorithms 
(JTC1/SC27 1994) und ISO/IEC 9798-4, Information technology 
- Security techniques - Entity authentication Mechanisms - 
Part 4: Mechanisms using a cryptographic check function 
(JTC1/SC27 1995) gefolgt. Der Sender ubertragt die 
Initialisierungsf ormation und die zeitvarianten Parameter 
an den Empfanger und als Authentisierungstoken sendet er 
eine Anzahl bisher nicht verwendeter Bits aus Z an den 
Empfanger. Der Empfanger berechnet seinerseits die 
Pseudozuf allsf olge Z und iiberpruft das empfangene 
Authentisierungstoken. Die wahrend der Signaliibertragung 
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vom Empfanger empfangenen Signale werden als authentisch 
akzeptiert, wenn die empfangenen Authentif ikationstoken mit 
denen, die er berechnet hat,| ubereinstimmen. Dariiberhinaus 
sind noch Modif ikationen des Werf ahrens moglich, die in der 
nachf olgenden Beschreibung noch im Einzelnen beschrieben 
werden. s 

Die Erfindung wird nun anhand von in der Zeichnung 
dargestellten Ausf iihrungsbeispielen naher beschrieben. In 
der Zeichnung bedeuten: 

Fig. 1 ein FluBdiagramm fur die prinzipielle 
Operationsf olge im Empfanger und 

Fig. 2 ein FluBdiagramm fur die prinzipielle 
Operationsf olge in einem Sender. 

Das Verfahren besteht aus einer Vorberechnungsphase und 
einer Kommunikationsphase , in der die Signale zusammen mit 
den Priifsummen iibertragen werden. 

Vorbereitungsphase : 

Mittels des kryptographischen Algorithmus ( zum Beispiel 
einer Blockchiffre im "Output-Feedback-Mode" gemaB ISO/IEC 
10116, Information Processing - Modes of Operation for an 
n-bit Block Cipher Algorithm (JTC1/SC27 1991)) wird aus 
einem zeitvarianten Parameter ( Sequenznummer , Zeitmarke, 
gemaB ISO/IEC 9798-2, Information technology - Security 
techniques - Entity authentication Mechanisms - Part 2: 
Mechanisms using symmetric encipherment algorithms 
(JTC1/SC27 1994)) und sonstigen Initialisierungsdaten 
zunachst eine Pseudozuf allsf olge Z erzeugt. Es sei m ein 
Sicherheitsparameter , zum Beispiel M = 16, 32 oder 64. Aus 
der Folge Z werden jetzt sich nicht iiberschneidende 
Abschnitte z[i] von jeweils m Bits den Signalen s[i], i = 
1, 2, n des Signalvorrates zugeordnet. Aus der 
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verbleibenden Folge werden weitere sich nicht 
uberschneidende m Bit Abschnitte t[i] als Codierung der 
Nummern 1, 2, ...MAX gewahlt, wobei MAX die maximale Anzahl 
der zu ubertragenden Signale ist. 

Kommunikationsphase : 

a ) Senderauthentif ikation : 

Falls eine Senderauthentif ikation erforderlich ist, wird 
zunachst dem Ablauf der "One pass authentication" gemaB den 
Verof f entlichungen ISO/IEG 9798-2, Information technology - 
Security techniques - Entity authentication Mechanisms - 
Part 2: Mechanisms using symmetric encipherment algorithms 
(JTC1/SC27 1994) und ISO/IEC 9798-4, Information technology 
- Security techniques - Entity authentication Mechanisms - 
Part 4: Mechanisms using a crpytographic check function 
(JTC1/SC27 1995) gefolgt. Der Sender iibertragt die 
Initialisierungsinf ormation und die zeitvarianten Parameter 
an den Empf anger. Als Authentisierungstoken sendet er eine 
Anzahl bisher nicht verwendeter Bits aus Z an den 
Empf anger. Der Empf anger berechnet seinerseits die 
Pseudozuf allsf olge Z und prlift das empfangene 
Authentisierungstoken . 

b) Signaliibertragung und -authentif ikation : 

Sei s[k[l]] das erste Signal, das iibertragen wird, dann 
sendet der Sender zur Authentif ikation des ersten Signals 
T(l):=f(z[k[l]],t[l]), wobei f eine schnell berechenbare 
Verknlipfung der beiden Werte z[k[l]] und t[l] ist. Ein 
Beispiel fur f ist die bitweise XOR Verknupfung. 

Fur i = 2, 3, i maximal MAX, sei s[k[i]] das i-te 

Signal, das iibertragen wird. Zur Authentif ikation dieses 
Signals sendet der Sender das Token T( i ): =f ( z [k[ i ]], t[ i ]) . 
Der Empfanger fiihrt jeweils dieselben Berechnungen aus und 
akzeptiert die erapfangenen Signale als authentisch, wenn 
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die vom Sender empfangenen Authentif ikationstoken mit 
denen, die er berechnet hat, iibereinstimmen. 

Die Reihenfolge der iibertragenen Signale wird durch den 
EinfluB der Werte t[i] gesichert. 

Eine Variante der Signalauthentif ikation besteht im 

folgenden: Wenn es erforderlich ist, das 

Authentif ikationstoken T(i) des i-ten Signals s[k[i-l]] 

abhangig von alien bisher gesendeten Signalen 

s [k[ 1 ]],..., s [k[ i-1 ] ] zu wahlen, kann zur Authentif ikation 

des i-ten Signals s[k[i]] das Token 

T(i) = f(t[i], F(i)) gesendet werden, wobei 

F(l) = s[k[l] ] und 

F(i) = f (s[k[i] ] ,F(i-l) ) fiir i > 1. 

Die Berechnung des Authentif ikationstokens T(i) erfordert 

somit zweimal die Berechnung von f . 

Ein Beispiel fiir die Anwendung eines derartigen Verfahrens 
ist der authentische Verbindungsauf bau beim Telef onieren . 
Beim Senden der Wahltone ist nicht bekannt, ob noch ein 
weiterer Wahlton folgt. Deshalb erscheint es erforderlich, 
jeden Wahlton in der ihm nachf olgenden Pause durch die 
Ubertragung eines Tokens zu authentisieren. Beim 
Mehrf requenzwahlverf ahren betragt die Lange der Wahltone 
mindestens 65ms und die Pausenlange zwischen den Wahltonen 
mindestens 80ms. Mit der Authentif ikation , wie sie hier 
beschrieben ist, ist auch diese kurze Zeitdauer von 145ms 
zur Authentif ikation ohne Probleme moglich. 

Zunachst soil anhand des FluBdiagramms nach Fig. 1 die 
Operations- oder Schrittfolge des Empfangers beschrieben 
werden. 

In dem Telef onbeispiel ist der Sender das Telef on, 
gegebenenf alls ausgestattet mit Kryptomodul und/oder 
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Chipkarte, und der Empf anger das Telef onnetz, zum Beispiel 
die nachste Vermittlungsstelle . 

El und SI: Hier wird der zeitinvariante Parameter zwischen 
dem Empf anger und Sender synchronisiert, Der zeitinvariante 
Parameter kann eine Sequenznummer Oder Zeitmarke sein, die 
synchronisiert vorliegt. Dieser Parameter darf 
gegebenenf alls auch zur Synchronisation im Klartext oder 
verschliisselt vom Sender an den Empf anger gesendet werden. 
Im erf indungsgemaBen Verfahren ist es sinnvoll, daB der 
Sender den zeitinvarianten Parameter schon kennt, bevor ein 
Verbindungsauf bau gewunscht wird, urn die s[], t[ ] 
vorzuberechnen . 

E2 und S2: Hier berechnen Sender und Empf anger zunachst 
eine Zufallsfolge PRS (Pseudo-Random-Sequence) der Lange 
m*(smax+tmax) Bit, wobei 

m: Sicherheitsparameter , im Beispiel m:=32. 

smax: Maximale Anzahl der unterschiedlichen Signale (Anzahl 
der Elemente des Alphabets/Signalvorates ) . Im Telef on- 
beispiel die Ziffern 1..9 und Spezialsymbole wie #, und 
andere . 

tmax: Maximale Anzahl der Signale, die in einera Durchgang 
authentisiert werden sollen. Im Telef onbeispiel max. Lange 
einer Telef onnummer , max. Anzahl von Ziffern und 
Spezialsymbolen fur einen Verbindungsauf bau . 

Danach werden jeweils sich nicht uberschneidende Abschnitte 
von m Bits dieser Zufallsfolge PRS den m Bit GroBen s[l], 
s[2], s[smax], t[l], t[2], t[tmax] zugewiesen: 

s[l] = Bit 1 bis Bit m der PRS 
s[2] = Bit m+1 bis Bit 2*m der PRS 
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s[max] = Bit (smax-l)*m+l bis Bit smaxro der Zufallsfolge 
PRS 

t[l] = Bit smax*m+l bis Bit (smax+l)*m der 

Zufallsfolge PRS 

t[tmax] = Bit ( smax+tmax-1 )*m+l bis Bit ( smax+tmax ) *m der 
Zufallsfolge PRS 

Anhand von Fig. 2 wird nachfolgend die Operations- Oder 
Schrittf olge fur den Sender beschrieben. 

S3: Der Sender wartet auf ein Signal w, das authentisch 
iibertragen werden soil, w wird als nattirliche Zahl 
zwischen 1, 2, . .., smax interpretiert , um die 
Abbildung w -> s[w] einfach zu halten. 

S4: Der Sender sendet das i-te Signal w zusammen mit dem 
Authentif izierungstoken f(s[w],t[i]). Im 
Telef onbeispiel ist das Token f ( s [ w] , t [ i ] )=s [ w]+t [ i ] , 
das bitweise XOR von s[w] und t[i]. 

S5: S3 und S4 werden solange iteriert wiederholt, bis 
entweder keine Signale mehr authentisch iibertragen 
werden sollen oder die maximale Anzahl von Signalen, 
die mit diesem Vorrat an vorberechneter Zufallsfolge 
PRS authentisiert werden konnen, erreicht ist. 

S6: Im Telef onbeispiel wartet der Sender jetzt auf den 
Verbindungsauf bau des Empf angers. 

E3, E4 und E5: Solange neue Signale mit zugehorigen 

Authentisierungstoken empfangen werden, priift der 
Empf anger, ob die von ihm berechneten 
Authentisierungstoken mit den empfangenen 
ubereinstimmen . 
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E6: Falls alle Token ubereinstimmen , werden die 

empf angenen Signale als authentisch akzeptiert* Im 
Telef onbeispiel erfolgt jetzt der Verbindungsaufbau, 



E7: Bei nicht erf olgreicher Authentisierung erfolgt kein 
Verbindungsaufbau . 
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PATENTkMSPRUCHE 

Verfahren zum Ubertragen von Signal-/Datenf olgen 
zwischen einem Sender unci einem Empfanger mit 
Authentif izierung der iibertragenen Signal-/Datenf olgen 
durch Verwendung von Sahliisseln und kryptographischen 
Algorithmeriv/^di^sowbf/l auf der Sender- als auch auf 
der Empf angerseite^implementiert sind, dadurch 
gekennzeichnet , 

daB in einer Vorberechnungsphase mittels krypto- 
graphischer Algorithmen Daten abhangig von einem 
geheimen Schllissel berechnet werden, aus denen in 
einer nachf olgenden Ubertragungsphase 
Authentif ikationstoken fur die Signale berechnet 
werden, die sowohl die Signale als auch die 
Reihenfolge des Sendens der Signale authentisieren. 

Verfahren nach Patentanspruch 1, dadurch 
gekennzeichnet, 

daS in der Vorbereitungsphase mittels eines 
kryptographischen Algorithmus eine Pseudozuf allsf olge 
(PRS) erzeugt wird, 

daft aus dieser Folge bestimmte Abschnitte als 
Codierung sowohl der Signale des Signalvorrates als 
auch der Sendestellen (1, 2, MAX) verwendet werden 

und 

daft das Authentif ikationstoken des Signals, das an i- 
ter (i = 1, 2, MAX) Stelle gesendet wird, 

abhangig von der Codierung des Signals und von der 
Codierung der Sendestelle (i) berechnet wird. 
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3. Verfahren nach Patentanspruch 2, dadurch 
gekennzeichnet , 

daS das Authentif ikationstoken (T) des Signals, das an 
i-ter (i = 1, 2, . MAX) Stelle gesendet wird, die 
bitweise XOR-Verkniipf ung oder eine aquivalente 
logische Funktion der Codierung des jeweiligen Signals 
und der Codierung der Sendestelle (i) ist. 

4 . Verfahren nach Patentanspruch 1 , dadurch 
gekennzeichnet , 

daS in der Vorberechnungsphase mittels eines 
kryptographischen Algorithmus eine Pseudozuf allsf olge 
(PRS) erzeugt wird, 

da3 aus dieser Folge bestixrunte Abschnitte als 
Codierung sowohl der Signale des Signalvorrates als 
auch der Sendestellen (1, 2, . MAX) verwendet 
werden und 

da5 das Authentif ikationstoken des Signals, das an i- 
■ter Stelle (i = 1, 2, MAX) gesendet wird, 

abhangig von der Codierung aller bisher gesendeten 
Signale (1, 2, i) und von der Codierung der 

Sendestelle (i) berechnet wird. 

5. Verfahren nach einero der Patentanspruche 1 bis 4, 
dadurch gekennzeichnet, 

dafi das Authentif ikationstoken (T) des Signals, das an 
i-ter Stelle (i = 1, 2, ... MAX) gesendet wird, die 
bitweise XOR-Verkniipf ung oder eine aquivalente 
logische Verkniipfung der Codierung aller bisher 
gesendeten Signale (1, 2, ... i) und der Codierung der 
Sendestelle (i) ist. 
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6. Verfahren nach einem der Patentanspriiche 1 bis 5, 
dadurch gekennzeichnet, 

daB der in der Vorberechnungsphase verwendete 
kryptographische Algorithmus eine Blockchiffre ist. 

7. Verfahren nach Patentanspruch 6, dadurch 
gekennzeichnet , 

daB als Blockchiffre der bekannte "Data Encryption 
Standard" verwendet wird. 

8. Verfahren nach einem der Patentanspriiche 6 bzw. 7, 
dadurch gekennzeichnet , 

daB die Pseudozuf allsf olge (PSR) durch Betreiben der 
Blockchiffre im bekannten "Output-Feedback-Mode" 
erzeugt wird. 

9. Verfahren nach dem Oberbegriff des Patentanspruchs 1 
bzw. nach einem der Patentanspriiche 2 bis 8, dadurch 
gekennzeichnet , 

daB in der Vorbereitungsphase zusatzlich ein Token (T) 
zur Authentif ikation des jeweiligen Senders berechnet 
wird, das nachfolgend iibertragen wird und den 
Empf anger zur Authentif ikation des Senders initiiert. 

10. Verfahren nach einem der Patentanspriiche 1 bis 9, 
dadurch gekennzeichnet, 

daB die Reihenfolge der iibertragenen Signale durch die 
sich nicht iiberschneidenden m Bit Abschnitte (t(i)) 
gesichert ist. 
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ZUSAMMENFASSUNG 

Das Verfahren zum Ubertragen von Signal-/Datenf olgen von 
einem Sender zu einem Empfanger mit Authentif izierung der 
Signal-/Datenf olgen setzt sich aus einer 

Vorberechnungsphase und einer Kommunikationsphase zusammen, 
in der die Signale zusaiamen mit den Priifsummen ubertragen 
werden. In der Vorberechnungsphase wird mittels eines 
kryptographischen Algorithmus aus einem zeitvarianten 
Parameter und sonstigen Initialisierungsdaten zunachst eine 
Pseudozuf allsf olge erzeugt. Aus einer Folge (z) werden sich 
nicht uberschneidende Abschnitte (z(i)) von jeweils m Bits 
in Signalen (s(i)), i = 1, 2, ... n eines Signalvorrates 
zugeordnet. Aus der verbleibenden Folge werden weitere sich 
nicht uberschneidende m Bit-Abschnitte (t(i)) als Codierung 
der Nummern (l, 2, . .. MAX) gewahlt. Der Sender ubertragt 
die Initialisierungsinf ormation und die zeitvarianten 
Parameter an den Empfanger und der Empfanger berechnet 
seinerseits die Pseudozuf allsf olge (Z) und priif t das 
empfangene Authentif ikationstoken (T) . Der Sender 
akzeptiert die empfangenen Signale als authentisch, wenn 
die vom Sender empfangenen Authentif ikationstoken mit denen 
ubereinstimmen , die er berechnet hat. 
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